NRI Secure SANS NewsBites 日本版

Vol.6 No.18-19 2011年5月11日発行

**********************************************************************
          NRI Secure Security Information
         (SANS NewsBites、@RISKサマリー版)
                     Vol.6 No.18-19 2011年5月11日発行
**********************************************************************

■はじめに(Alan Paller:SANS Director of Research)
毎年夏になると、インターネットストームセンターのアナリストが、米国中そ して世界中からワシントンDCでのSANSFIREで話すためにやって来て、新生の攻 撃のパターンやその他の教訓について討論を繰り広げる。1000人の参加者は、 新しい攻撃として実際に何が起きているのかを、ユニークな内部者の視点で確 かめていく。今年のSANSFIRE(7月15日-24日開催)に参加される方は、新企画の NetWars 競技会に参戦したり、優れたセキュリティ製品の展示を見たりしてい ただくことができる。
これらは、「Reverse Engineering」、「セキュリティの重要な要素(Security Essentials)」、「フォレンジック」、「侵入テスト」、「セキュアプログラ ミング」、「Incident Handling」、「Hacker Exploits」や、法関連コース、 監査コース、マネジメントコース、その他の技術的コースなど、好評の35コー スの集中訓練の特典として参加可能だ。 http://www.sans.org/sansfire-2011/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
      SANS Tokyo 2011 トレーニングイベント 申込み開始!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
      !!世界中で最も受講されている2コースを実施!!

   【SEC401】Security Essentials Bootcamp Style
          2011年7月25日(月)~30日(土)

   【SEC504】Hacker Techniques, Exploits and Incident Handling
          2011年11月14日(月)~19日(土)

        ↓↓↓詳細&お申込みはこちら↓↓↓
            http://sans-japan.jp/
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■■SANS NewsBites Vol.13 No.32-35
(原版:2011年4月22、27、29日、5月4日)

◆AppleとGoogle  加入者の位置情報を収集 (更新情報)(2011.4.22)
iPhoneやAndroid フォンは、個別の電話機識別子を含む位置情報を定期的に AppleとGoogleに送信していているという。データは、1時間に数回送信される ようになっている。

http://online.wsj.com/article/SB10001424052748703983704576277101723453610.html?loc=interstitialskip
────────────────

◆iPhoneのソフトウェア ユーザーの位置情報を収集・保管 (2011.4.20)
iOS4で動くiPhoneがユーザーの位置情報を検出して記録していることが、研究 者らによって発見された。情報は、iTunesのiOSデバイスバックアップシステム を介して、暗号化されずにデバイスやコンピュータに保管されるという。これ らはユーザーの許可なしに保存されている。しかしながら、Apple に情報が送 信されている証拠はなく、ユーザーがデータを保持しているようである。ほか の研究者も昨年にその問題を発見したが、その研究は主にフォレンジックの領 域にとどまっており公表されていない。今回の件を発表したこの2人の研究者 は、保管されている情報を視覚化するツールも公表した。

http://www.informationweek.com/news/security/privacy/229401960
http://news.cnet.com/8301-13579_3-20055885-37.html?tag=mncol;title

【編集者メモ】(Northcutt)
なんと!許可なしに加入者の位置情報を収集するなどまったくひどいことだ。 具体的な事例だと、緑の党(Green Party)の政治家 Malte Spitzが、2009年に ドイツの大手テレコム企業Deutsche Telekomに対して、使用していたGPS携帯 電話の6カ月分のデータを引き渡すように求め、それまでの移動先を画像で表 してみせたことがある。非常に説得力のあるデータにはちがいない。
ところで、私はと言えば、携帯電話のGPS機能をほとんどの間オフにしている。

http://www.zeit.de/datenschutz/malte-spitz-data-retention

────────────────

◆米国司法省 令状なしでのGPS追跡権限を求める (2011.4.19)
米国司法省は米国最高裁判所に対し、「令状なく麻薬密売人の車をGPSで1か月 追跡したため、同人への有罪判決・刑罰は覆される」という2010年8月の下級 裁判所判決を覆すように求めている。司法省は、捜査当局が容疑者の車に令状 なしでGPSでの追跡装置を取り付けるよう求めている。他の3つの巡回控訴裁判 所は「警察において、捜査でこういう装置の使用が普及してきたため、使用に 際して令状は必要ない」と述べている。1983年の最高裁判決では、令状なしで の追跡用のビーコンユニットをある容器に取り付けることを認めた判決が下さ れている。ドラッグ取引人の有罪判決を覆した下級裁判所は、「1983年のビー コンのケースでは、人物のある地点から次の地点への移動に対するの追跡が行 われたが、今回は、GPS追跡装置によって、継続的な監視情報が提供されてい る点に違いがある」と述べ、「個人の一連の動きを示すことは、その動きの中 の個別の動きのみを示すよりも多くを露呈してしまう」とも言及している。

http://www.wired.com/threatlevel/2011/04/scotus-gps-monitoring/
────────────────

◆重大インフラシステムのサイバーセキュリティ 攻撃への対応が追い付かず (2011.4.18)
McAfeeからの委託で作成され、戦略・国際問題研究所(CSIS: Center for Strategic and International Studies)も作成に関わった報告書によると、重 大なインフラの要素を運営する企業のシステムに対する攻撃件数が増加してい るという。「In the Dark: 重大な産業 サイバー攻撃に直面」と題された この報告書には、「企業の多くが、サイバー上の資産を攻撃から保護するため の適正な措置を施さないまま新技術を導入している」とある。この報告書は、 14か国に渡る電力、石油、ガス、水道部門の200人のITセキュリティ幹部に行 った電子調査の回答をまとめている。それによると、電力部門の回答者の半数 近くがシステム上にStuxnetを発見したと答えており、全回答者の4分の1が、 サイバー攻撃またはサイバー攻撃予告による恐喝のターゲットになったことが あると述べている。

http://www.informationweek.com/news/government/security/229401858 http://news.cnet.com/8301-27080_3-20055091-245.html?tag=mncol;title http://www.mcafee.com/us/resources/reports/rp-critical-infrastructure-protection.pdf

────────────────

◆Apple 位置追跡情報で訴えられる (April 25, 2011.4.25)
ユーザーの同意なしに位置追跡情報をiPhoneに保存しているとし、2人がApple に対して訴訟を起こした。この訴えはフロリダ州中央地区米国地方裁判所(US District Court for the Middle District of Florida)に提訴された。原告は、 Appleが追跡機能を無効にする命令を求めており、「Appleは、ユーザーの多く が、ユーザー用使用許諾契約書の詳細にわたって熟読していないことを認識し ているため、コンピュータ不正行為防止法(Computer Fraud and Abuse Act) に違反している」と主張している。
関連するが別件の話題だが、テストによると、iPhoneは、位置情報サービスを オフ設定にした後で位置情報を保持していたという。

http://www.ibtimes.com/articles/137806/20110425/apple-hit-with-class-action-suit-over-tracking.htm http://www.theregister.co.uk/2011/04/25/apple_sued_for_location_tracking/ http://www.wired.com/gadgetlab/2011/04/iphone-location-opt-out/ http://www.wired.com/images_blogs/gadgetlab/2011/04/applesnoop.pdf http://technolog.msnbc.msn.com/_news/2011/04/25/6524572-iphone-tracks-you-even-with-location-feature-disabled

────────────────

◆イランの捜査員 談:「政府のシステムをターゲットにしていたワームが他にもあった」 (2011.4.25)

イランの原子力発電所を感染させたStuxnetアタックを調査していた同国の捜 査員によると、「イランは、Starsというワーム(「スパイウィルス」と言わ れているワーム)が関連している別の攻撃でもターゲットになっていた」とい う。問題の攻撃は、イランの原子力システムの特定のコンピュータシステムを ターゲットにしていたようだ。この捜査員は、先週、Stuxnet攻撃について Siemensを非難し、同社に対し、「敵に対してSCADAソフトウェアのコードに関 する情報を提供し、イランの原子力プログラムに対してサイバー攻撃の地固め をした方法と、理由を説明せよ」と求めている。専門家の中には、Starsは、 本当に対象を持った攻撃なのか、単なるありきたりのWindowsのワームなのか をまだ決めかねている者もいる。

http://www.washingtonpost.com/world/iran-country-under-attack-by-second-computer-virus/2011/04/25/AFudkBjE_story.html http://www.computerworld.com/s/article/9216140/Iran_says_it_was_targeted_with_second_worm_Stars_ http://www.bbc.co.uk/news/technology-13188351 http://www.eweek.com/c/a/Security/Iran-Claims-Stars-Virus-a-Second-CyberAttack-726573/

【編集者メモ】(Schultz)
この特定のワームが、Targeted Attackに属するのかという問題について、1つ だけわかっていることがある。我々は、ターゲットを絞ったワームアタック (Targeted worm Attack)となると、まだ氷山の一角くらいしかわかっていな いということだ。

────────────────

◆アマゾン・クラウドのクラッシュで永久に破壊された顧客情報も(2011.4.28)

アマゾン・クラウドサービスがクラッシュしたため、Webサイトにアクセスが できずに顧客に不便が生じただけではなく、なかには、データが永久に破壊さ れてしまったケースもあった。今回のクラッシュについて詳細な説明はまだ行 われていない。しかしながら、アマゾン・クラウドサービスを利用していた企 業の中に、今回のクラッシュで影響を受けずに営業を継続していた企業が2社 あった。この2社は、このようなインシデントから自社を保護するために、独 自に措置を講じていたために、事業の中断から免れることができたようだ。

http://technolog.msnbc.msn.com/_news/2011/04/28/6549775-amazons-cloud-crash-destroyed-many-customers-data http://www.informationweek.com/news/cloud-computing/infrastructure/229402385

【編集者メモ1】(Ranum)
クラウドにデータを置いておきたければそうすればよい。ただ、厳しい見返り もあるが…。
【編集者メモ2】(Schultz)
アマゾンは、クラウドサービスのプロバイダとして素晴らしい評判を得ていた。 だから、今回のことで私は困惑している。しかし同時に、これで、大きな教訓 も得ることができた。とにかく、クラウドプロバイダに完全には頼りきらない こと。これに尽きる。必ず別のプランを用意することだ。ここで説明されてい る2社を見ればよくわかる。

────────────────

◆監査結果:FBIのサイバーセキュリティ上の能力 最大限に引き出されず(2011.4.27-28)

米国司法省の監査官(IG:inspector general)の監査報告書によると、インタ ビューを行った36人の捜査官の3分の1に、サイバー侵入の捜査を行う際に必要 なスキルを欠いていたという。この監査では、国家のサイバーセキュリティが 侵害される脅威が生じた際に、FBIが対処する能力を検査した。
その結果、米国サイバー捜査・共同捜査本部 (NCIJTF:the National Cyber Investigative Joint Task Force)に大きな欠陥があることがわかった。FBIの 現場事務所56か所それぞれには、サイバー分隊が少なくとも1隊配備されてい るが、これら現場捜査員のスキルにレベル上の問題があるようだ。

http://www.csoonline.com/article/680869/doj-report-critical-of-fbi-ability-to-fight-national-cyber-intrusions 編集済みの報告書はこちら:
http://www.justice.gov/oig/reports/FBI/a1122r.pdf http://www.scmagazineus.com/audit-doubts-fbis-ability-to-combat-cyberthreats/article/201657/ http://www.justice.gov/oig/reports/FBI/a1122r.pdf

【編集者メモ】(Paller)
このIGの報告書にはかなり問題がある。NCIJTFは、実地で評価されている、サ イバーセキュリティ分野で米国が有する最も有益で効果的な組織の1つである。 したがって、素晴らしいサクセスストーリーであるはずなのだ。このIGの監査 結果は、「NCIJTFは、癌を治したが、それでは不十分ではない。なぜなら、風 邪を治せていないのだから。」と言っているようなものである。さらに、「現 場事務所のフォレンジックや分析機能が十分でない」という指摘は、「任務に 必要な高いスキルを持っている分析やフォレンジックを行う人間などどこにも いない」という事実を完全に見落としている。アルファベット三文字で表記さ れる重要な政府期間や軍組織、主要な国防関連業者においては、どこもみな世 界レベルでのサイバー分析に不可欠といえるフォレンジック・ハンターや、ツ ール構築者が大幅に不足している(累積で数千人ほど足りない)という現状だ。

────────────────

◆米国連邦機関 書面上の許可のもと、リモートでPCのCorefloodを浄化する意向 (2011.27-28)

今後1ヶ月で、連邦機関は、感染したPCからリモートでCorefloodボットネット のマルウェアを除去していく意向だ。リモートで活動を行う前に、司法省は感 染したマシンの所有者を特定する。対象の所有者は、FBIに除去の承諾書を提 出しなければならない。2週間前、連邦機関は、Corefloodの指令管制サーバ5 つの差し押さえを許可する裁判所命令を獲得した。その後、米国連邦保安局 (US Marshal Service)は、問題のサーバを、感染したPCのほとんどにあるマル ウェアを無効にできる他のサーバに入れ替えている。

http://www.computerworld.com/s/article/9216199/Feds_to_remotely_uninstall_Coreflood_bot_from_some_PCs?taxonomyId=82 http://www.technewsworld.com/story/72349.html?wlc=1304020269&wlc=1304033880 http://www.theregister.co.uk/2011/04/27/coreflood_mass_uninstall/ http://www.securecomputing.net.au/News/255694,fbi-details-difficulties-defanging-coreflood-botnet.aspx http://www.wired.com/threatlevel/2011/04/coreflood_results/

────────────────

◆ソニー オンラインゲームサイトを停止(2011.5.2)
日曜日の遅く、ソニーは、同社のオンラインPCゲームサイト、Sony Online Entertainmentを停止した。そのため、今回PSN(PlayStation Network) を停止 に追い込んだ攻撃によって、ソニーが認めているよりもさらに深くまで、同社 のシステムが侵害されたのではないかという推測も飛び交っている。ソニーは、 「サービスを即座に停止すべき懸念事項が見つかった」というほか、詳細な理 由などについて多くの情報は提供していない。

http://www.theregister.co.uk/2011/05/02/sony_online_entertainment_closed/ http://latimesblogs.latimes.com/technology/2011/05/sony-online-games-attack-hacker.html http://www.pcmag.com/article2/0,2817,2384771,00.asp http://www.bbc.co.uk/news/technology-13260041

────────────────

◆Apple 追跡技術で特許を申請していた (2011.4.27-29)
2009年、Appleはスマートフォンのユーザーを追跡する技術の特許を申請した。 最近、そのAppleのiPhoneがユーザーの位置情報を追跡し保持していたことが 判明し、ニュースになっていた。Appleは、ユーザーを追跡などしておらず、 この情報を保持しているという問題はバグであると主張している。その2009年 9月の特許は「位置認識デバイスのための位置履歴」に言及している。

http://www.securecomputing.net.au/News/255860,apple-snooping-plot-thickens--iphone-tracker-was-patented.aspx http://blogs.forbes.com/kashmirhill/2011/04/27/apple-filed-a-patent-application-in-2009-for-what-its-now-calling-a-bug/

────────────────

◆LimeWireの裁判 今週始まる (2011.4.28)
全米レコード協会(RIAA:Recording Industry Association of America)が著 作権侵害でLimeWireを訴えた裁判の審理が、5月3日火曜日に始まる。これは、 ファイル共有ソフトウェア企業を訴える裁判としては、2005年に米国最高裁が Groksterに対して判決を下して以来、初の裁判となる。今回、連邦陪審は、問 題のサービスによる著作権違反行為でLimeWireがいくら払うべきかを判断する。 レコード会社側は、LimeWireに損害賠償として10億ドルの支払い義務があると 主張。米国地方裁判所判事Kimba Woodは、「この侵害行為は“意図的”である ため、共有された楽曲に対する罰金は大幅に増額される」と述べている。Wood 判事はLimeWireに対し、2010年10月にファイル配信機能を停止するように命令 している。

http://www.wired.com/threatlevel/2011/04/limewire-damages-trial/

【編集者メモ】(Northcutt)
私の「Security Leadership Essentials(セキュリティのリーダーシップの根 本)」という講義では、Grocksterのケースにも触れている。しかし、話題に のぼっているLimeWire関係者は大変に厚かましい。

http://www.sans.org/security-training/security-leadership-essentials-managers-knowledge-compression-62-mid

────────────────

◆マルウェア Macをターゲットに (2011.5.2)
広く蔓延しているわけではないが、Mac OS Xをターゲットにしているマルウェ アが検知された。感染を広げているこのマルウェアは、最近のビン・ラディン 死亡ニュースに対するユーザーの興味心につけこんでいる。MacDefenderなる 意味のないソフトがセキュリティソフトを騙って、ユーザーに最高で80ドルを 支払わせようとするのだという。Macユーザーを狙う詐欺アンチウィルスソフ トは、これが初めてのものだ。このプログラムには、「マシンにマルウェアが 検知された」という一連のメッセージをユーザーのコンピュータに表示し、セ キュリティソフトをダウンロードするように促す。Safariのユーザーが、「ダ ウンロード後に“安全な”ファイルを開く」という設定を選択しておくと、悪 意のあるページを訪問しただけで、問題のマルウェアが即座にインストールさ れてしまう。その他で感染に至るケースは、ユーザーがZIPファイルを開いて 手動でマルウェアをインストールしてしまう場合もある。このマルウェアと同 じ名前の合法的なソフトウェア開発業者があるが、同社はこの件には全く関係 はない。インターネットストームセンター(ISC:Internet Storm Center)

http://isc.sans.edu/diary.html?storyid=10813
ISCによれば、この正規のソフトウェアはPayPalで99ドルで購入できるという。 ほか、PayPal以外のところでは、80ドルで買えるところもあるらしい。
http://www.computerworld.com/s/article/9216335/Fake_security_software_takes_aim_at_Mac_users?taxonomyId=17 http://www.pcworld.com/article/226846/fake_macdefender_brings_malware_to_macs.html http://thenextweb.com/apple/2011/05/02/bogus-macdefender-malware-campaign-targets-mac-users-using-google-images/

【編集者メモ】(Northcutt)
安全のために、ビン・ラディン、米海軍特殊部隊(Navy Seal)、グラウンド・ ゼロでの「アメージング・グレース」演奏、人間盾となった妻などに関する動 画や画像があると記している添付ファイル付きのメッセージを開かないように、 知り合いに伝えていただきたい。
これは、Macや、Windows PC、iPhone、Androidに対してだけに言えることでは ない。ただただ、こういうメッセージは開かないでいただきたい。クリックし てしまった人もいるので、ボットネットは感染したシステムをさらに数百万単 位で増大させたことだろう。

────────────────

■■■■■ @RISK:The Consensus Security Vulnerability Alert ■■■■■
(原版:2011年4月29日 Vol.10 No.18)

今週報告された脆弱性情報のサマリー

====================================================================== カテゴリー
件数(#は本稿掲載番号)
====================================================================== Third Party Windows Apps
1
Linux
1
BSD
1
Solaris
1
Cross Platform
17(#1,#2)Web Application - Cross Site Scripting
1
Web Application
4
======================================================================
1.危険度【高】: Adobe Readerおよび Acrobatの 'CoolType.dll'にメモリ破損によるリモートのコード実行の脆弱性

<影響を受ける製品>
Windows用Adobe Reader X (10.0.1)までのバージョン
Macintosh用Adobe Reader X (10.0.2)までのバージョン
WindowsおよびMacintosh用Adobe Acrobat X (10.0.2)までのバージョン

<詳細>
Adobeは、ReaderとAcrobatにあるさまざまなセキュリティの脆弱性に対処する パッチをリリースした。脆弱性の中には、Adobe Readerが用いるcooltype.dll ライブラリのメモリ破損が関係している脆弱性があり、巷で活発に悪用されて いるという。AdobeのCoolTypeライブラリは、LCDおよびTFTスクリーンに読み やすくて美的なテキストを表示するために使われている。これを有効にする際 に、PDFの中に特に必要なはものはない。攻撃者は、悪意のあるファイルを開 くようにターゲットを誘い込めば、これらの脆弱性を悪用してターゲットのマ シンで任意のコードを実行させられる。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.adobe.com
Adobeのセキュリティ警告
http://www.adobe.com/support/security/bulletins/apsb11-08.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/47531
http://www.securityfocus.com/bid/47314

────────────────

2.危険度【高】: Oracle Databaseのサーバにさまざまな脆弱性

<影響を受ける製品>
Oracle Database 11g Release 2 の11.2.0.1, 11.2.0.2
Oracle Database 11g Release 1 の11.1.0.7
Oracle Database 10g Release 2 の10.2.0.3, 10.2.0.4, 10.2.0.5
Oracle Database 10g Release 1 の10.1.0.5

<詳細>
Oracleは、同社製製品にあるさまざまな脆弱性に対処するパッチをリリースし た。問題の中には、攻撃者が任意のコードを実行する際に利用できる脆弱性も 複数ある。Oracle Database Serverにある2つの詳細不明の脆弱性が悪用され ると、リモートから、未承認の攻撃者であっても、ターゲットのマシンに任意 のコードを実行できるようになってしまう。
Oracleは、旧式のTLS Renegotiationの脆弱性を、コード実行の問題としてリ ストに掲載している。この問題を悪用すると、攻撃者は、接続の完全な制御を 獲得し、ハンドシェイク後にTLSクライアントによって送信される最初のメッ セージに任意のデータをPrependできるようになってしまう。また、攻撃者が 接続の制御を得ると、この脆弱性を悪用して、Oracle Fusion Middlewareを運 用しているマシンに任意のコードを実行できるようになってしまうおそれもあ る。しかし、その詳細は公表されていない。

<現状>
ベンダーはこの問題を認めており、更新をリリースしている。

<参考>
ベンダーのサイト
http://www.oracle.
Oracleの重大なパッチ更新のアドバイザリ
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html
SecurityFocus Bugtraq IDs
http://www.securityfocus.com/bid/36935
http://www.securityfocus.com/bid/47430
http://www.securityfocus.com/bid/47441

────────────────

このニュースレターは、情報セキュリティの専門機関であるSANS Instituteが配信するコンテンツ(SANS NewsBites、@RISK)をベースに、NRIセキュアテクノロジーズが編集してお届けしています。 世界中でこの1週間に起こったセキュリティのあらゆるトピックと専門家のコメントが掲載されています。 原版は、およそ20万人のセキュリティのコミュニティに配信され、資料価値のあるニュースソースとして活用されています。組織のセキュリティ管理に関する参考情報としてお役立てください。 掲載されている情報は、e-mailを介して自由に他の方に再送していただいて結構です。ただし、サイトへの掲載は禁じます。 日本語版の無料購読を希望される方は、弊社ホームページの以下の画面よりお申込みください。

https://www.nri-secure.co.jp/cgi-bin/form.cgi?id=s000

このメールは、SANS関連のイベントに参加された方、その他イベント等における弊社講演枠に登録された方、弊社からの情報を希望された方を中心に配信しています。 配信を希望されない方は、恐れ入りますが件名に「配信停止」とお書きいただき、info@sans-japan.jpまで返信してください。